Des règles plus adaptées, plus claires et plus fermes pour la vie privée et les communications électroniques
Une nouvelle proposition en matière de vie privée et de communications électroniques devrait garantir la confidentialité des communications, clarifier la situation et compléter le règlement général sur la protection des données (RGPD), a expliqué le Contrôleur européen de la protection des données (CEPD) lors de la publication de son avis sur le réexamen de la directive «vie privée et communications électroniques».
Giovanni Buttarelli (CEPD) a déclaré: «La confidentialité des communications en ligne réalisées par les personnes et les entreprises est essentielle pour le fonctionnement des sociétés modernes et de leurs systèmes économiques. Les règles de l’UE conçues pour protéger la vie privée dans le cadre des communications électroniques doivent refléter le monde tel qu’il existe aujourd’hui. En préservant et en ne réduisant pas le degré élevé de protection offert par la directive actuelle «vie privée et communications électroniques» et en harmonisant certaines dispositions spécifiques pour compléter le RGPD, l’UE peut renforcer la confidentialité et l’intégrité de nos communications électroniques.»
Dans son avis, le CEPD estime que le champ d’application des nouvelles règles sur la vie privée et les communications électroniques doit être suffisamment large pour couvrir toutes les formes de communications électroniques, quel que soit le réseau ou service utilisé et sans se limiter aux services fournis par les compagnies téléphoniques et les fournisseurs d’accès internet traditionnels. Les personnes doivent pouvoir bénéficier du même degré de protection pour tous les types de communication, comme le téléphone, les services de voix sur IP, les applications de messagerie pour téléphones mobiles ou l’internet des objets (de machine à machine).
Les règles mises à jour devraient aussi permettre de protéger la confidentialité des utilisateurs sur tous les réseaux à accès public, notamment les services Wi-Fi dans les hôtels, cafés, magasins et aéroports, les réseaux offerts par les hôpitaux aux patients et par les universités aux étudiants, ainsi que les points d’accès établis par les administrations publiques.
Tout ce qui s’oppose à l’exercice du droit à la confidentialité des communications est contraire à la Charte des droits fondamentaux de l’Union européenne.
Aucune communication ne devrait faire l’objet d’un traçage ou d’un suivi illicite, que ce soit par l’utilisation de cookies, par captage d’empreintes digitales ou tout autre moyen technologique, sans un consentement librement accordé. Les utilisateurs doivent aussi disposer de mécanismes conviviaux et efficaces pour accorder ou non leur consentement. Dans le but de mieux protéger la confidentialité et la sécurité des communications électroniques, il importe de renforcer l’exigence actuelle de consentement pour les données relatives au trafic et à la localisation.
Les règles actuelles prévues par la directive «vie privée et communications électroniques» qui assurent une protection contre les communication non sollicitées, telles que les messages publicitaires ou promotionnels, devraient être mises à jour et renforcées et exiger le consentement préalable du destinataire pour toutes les formes de communications électroniques non sollicitées.
Une nouvelle disposition obligeant les organisations à divulguer régulièrement les chiffres agrégés qui indiquent les demandes d’informations reçues de services répressifs ou de gouvernements de pays de l’UE ou de pays tiers apporterait une certaine transparence bienvenue dans le domaine sensible, complexe et souvent litigieux de l’accès des gouvernements aux communications.
Les nouvelles règles devraient compléter et, si nécessaire, préciser les moyens de protection disponibles au titre du RGPD. Elles devraient aussi maintenir le degré actuel plus élevé de protection pour les cas où la directive «vie privée et communications électroniques» offre des garanties plus spécifiques que celles du RGPD.
Informations complémentaires
Les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation ayant une influence sur la vie privée, et de coopérer avec des autorités de même nature afin de garantir une protection des données qui soit cohérente.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Ils sont entrés en fonction le 4 décembre 2014, pour un mandat de cinq ans.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. Par exemple: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication, ou fournies par ces derniers, sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit reconnu à une personne d'être laissée tranquille et de contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), la Convention européenne des droits de l’homme (article 8) et la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: aux termes de l’article 2, point b), du règlement (CE) n° 45/2001, on entend par «traitement de données à caractère personnel» «toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.» Voir le glossaire figurant sur le site web du CEPD.
Directive «vie privée et communications électroniques»: Le 12 avril 2016, la Commission européenne a lancé une consultation publique sur la directive actuelle «vie privée et communications électroniques», ainsi que sur les changements qui pourraient être apportés au cadre juridique existant. Les dispositions de cette directive régissent le traitement des données à caractère personnel dans le secteur des communications électroniques et clarifient les droits au respect de la vie privée et de confidentialité qu’ont les clients dans le cadre des communications en ligne. La Commission utilisera les commentaires reçus en réponse à cette consultation pour préparer une nouvelle proposition législative sur la vie privée et les communications électroniques, prévue pour la fin 2016.